Program odgovornega razkritja
Varnost naših sistemov, izdelkov, podatkov naših zaposlenih in strank jemljemo resno in cenimo varnostno skupnost. Cenimo in spodbujamo varnostne raziskovalce, da stopijo v stik z nami in poročajo o morebitnih ranljivostih, ugotovljenih v katerem koli izdelku, sistemu ali sredstvu, ki pripada podjetju Worldline SA, njegovim podružnicam in hčerinskim družbam (skupaj v nadaljnjem besedilu: »Worldline« ali »mi«/»nas«/»naš«). Če menite, da ste odkrili morebitno varnostno ranljivost, jo predložite našemu programu za odgovorno razkritje.
Upoštevajte, da Worldline ne upravlja javnega programa za nagrajevanje napak in ne nudi nagrade ali nadomestila v zameno za predložitev morebitnih težav.
Smernice programa odgovornega razkritja
Naše zahteve za vse raziskovalce:
potrudite se, da se izognete kršitvam zasebnosti, poslabšanju uporabniške izkušnje, motnjam v produkcijskih sistemih in uničenju podatkov med varnostnim testiranjem;
ne sodelujte v dejavnostih, ki bi lahko potencialno ali dejansko povzročile škodo podjetju Worldline, našim strankam ali našim zaposlenim;
ne izvajajte goljufivih finančnih transakcij;
ne shranjujte, delite, ogrožajte ali uničujte podatkov Worldline ali strank. Če naletite na podatke, ki omogočajo osebno identifikacijo (PII), takoj ustavite svojo dejavnost, počistite povezane podatke iz sistema in nemudoma stopite v stik s podjetjem Worldline. ta korak ščiti morebitne ranljive podatke in vas;
ne sodelujte v dejavnostih, ki kršijo (a) evropske, zvezne ali državne zakone ali predpise ali (b) zakone ali predpise katere koli države, kjer (i) se nahajajo podatki, sredstva ali sistemi, (ii) je podatkovni promet usmerjen ali ( iii) raziskovalec opravlja raziskovalno dejavnost;
izvajajte raziskave samo v obsegu, ki je določen spodaj;
uporabite prepoznane komunikacijske kanale, da nam sporočite informacije o ranljivosti; in
informacije o morebitnih ranljivostih, ki ste jih odkrili, ohranite zaupne med vami in podjetjem Worldline.
Če upoštevate te smernice, ko nam poročate o težavi, se zavezujemo, da:
ne bomo izvajali ali podpirali pravnih dejanj, povezanih z vašim raziskovanjem;
bomo sodelovali z vami, da bi hitro razumeli in odpravili težavo (vključno z začetno potrditvijo vašega poročila v 5 delovnih dneh po predložitvi);
prepoznali vaš prispevek v naši dvorani slavnih varnostnih raziskovalcev, če ste prvi prijavili težavo in bomo na podlagi težave ustvarili kodo ali spremenili konfiguracijo.
Politika razkritja
obvestite nas čim prej, ko odkrijete morebitno varnostno težavo, in potrudili se bomo, da težavo hitro odpravimo;
Zagotovite nam razumen čas za rešitev težave pred kakršnim koli razkritjem javnosti ali tretji osebi;
Potrudite se v dobri veri, da se izognete kršitvam zasebnosti, uničenju podatkov in prekinitvi ali poslabšanju naše storitve. Delajte samo z računi, ki so v vaši lasti, ali z izrecnim dovoljenjem imetnika računa.
Kdo lahko sodeluje v programu
vsakdo, ki ne dela za Worldline ali partnerje Worldline, ki prijavi edinstveno varnostno težavo v obsegu in je ne razkrije tretji osebi.
Obseg
Vsako javno spletno mesto, ki je v lasti, upravljanju ali nadzoru Worldline, vključno s spletnimi aplikacijami, ki gostujejo na teh mestih.
Vsi potrošnikom dostopni sistemi programskega vnosa PIN na COTS, vključno s samo aplikacijo PIN CVM ter protokoli, ki se uporabljajo za komunikacijo med aplikacijo PIN CVM, SCRP in sistemi za spremljanje v ozadju.
Izven obsega
Vsa spletna mesta ali storitve strank, ki jih gostijo tretji ponudniki in storitve, so izključena iz obsega.
V interesu varnosti naših uporabnikov, osebja, interneta na splošno in vas kot varnostnega raziskovalca so naslednje vrste testov izključene iz obsega:
Ugotovitve fizičnega testiranja, kot je dostop do pisarne (npr. odprta vrata, zadnja vrata)
Ugotovitve izhajajo predvsem iz socialnega inženiringa (npr. lažno predstavljanje, lažno predstavljanje)
Ugotovitve iz aplikacij ali sistemov, ki niso navedeni v razdelku »Obseg«.
Napake uporabniškega vmesnika in UX ter črkovalne napake
Napadi zaradi izčrpanosti virov
Ranljivost zavrnitve storitve (DoS/DDoS) na ravni omrežja
Pod nobenim pogojem ne izločite nobenih podatkov
ne ogrožate namerno zasebnosti ali varnosti osebja Worldline ali katere koli tretje osebe
Namerno ne ogrožate intelektualne lastnine ali drugih komercialnih ali finančnih interesov osebja ali subjektov družbe Worldline ali tretjih oseb.
Vse dejavnosti, izvedene v skladu s tem pravilnikom, se bodo štele za dovoljeno ravnanje in proti vam ne bomo sprožili pravnih postopkov. Če tretja oseba proti vam sproži pravni postopek v zvezi z dejavnostmi, ki se izvajajo v skladu s to politiko, bomo ukrepali, da bomo vedeli, da so bila vaša dejanja izvedena v skladu s to politiko.
Hvala, ker pomagate ohranjati varnost Worldline in naših uporabnikov! Pošljite svoje poročilo programu za razkritje Worldline na HackerOne.